Anzeige
| Zahlungsverkehr

Wie sich der Kartenbetrug verändert

Die Digitalisierung krempelt den Zahlungsverkehr um – und auch die Methoden von Betrügern. Wie die aussehen, erläutert Ronny Sinsel, Referent Kartensicherheit und Karteninfrastruktur beim Deutschen Sparkassen- und Giroverband (DSGV).

Anzeige

DSZ: Digitalisierung und digitalisierte Karten verändern den Zahlungsverkehr – wie verändert sich der Kartenbetrug?
Ronny Sinsel: Betrug im Zahlungsverkehr ist vermutlich so alt wie der Zahlungsverkehr selbst. Waren es früher Eurocheques, die gestohlen und gefälscht wurden, gehen im Zeitalter der Digitalisierung Betrüger auch teilweise ganz neue Wege. Den guten alten Eurocheque gibt es schon lange Zeit nicht mehr, und das Belegaufkommen an Überweisungsträgern schrumpft jährlich um rund zehn Prozent zugunsten der Online-Überweisungen.

Wir beobachten, dass die Betrüger fast jeder Innovation im digitalisierten Zahlungsverkehr folgen und versuchen, verstärkt nach Lücken in den Kontrollsystemen zu suchen. Dass Betrug sich lohnt, das zeigt der EZB-Bericht aus 2018 über Kartenbetrug im Euro-Zahlungsverkehrsraum. Es war zwar ein leichter Rückgang des Betrugs zu verzeichnen; das Volumen lag aber immer noch bei 1,8 Milliarden Euro, und davon entfielen 73 Prozent auf Online-Betrug.

DSZ: Wie verändern sich die Praktiken der Betrüger?
Sinsel: Die Digitalisierung im Zahlungsverkehr begann schon vor der digitalen Karte. Nehmen Sie zum Beispiel den beleghaften Zahlungsverkehr. Früher fischten Verbrecher die Überweisungsträger aus dem Briefkasten der Sparkassen; heute phishen sie überwiegend im Internet Zugangsdaten für das Onlinebanking. Gegen den physischen Diebstahl von Überweisungsträgern führten Banken unter anderem Briefkästen mit Eingriffsschutz ein oder bauten sie gleich ganz ab. Durch die Verlagerung vom Briefkasten ins Onlinebanking haben auch die Verbrecher ihren Arbeitsplatz verlegt.

 
DSGV-Experte Ronny Sinsel: "Betrug im Zahlungsverkehr ist so alt wie der Zahlungsverkehr selbst." © DSGV

DSZ: Und wie reagieren die Sparkassen darauf?
Sinsel: Heute begegnen Sparkassen diesen im elektronischen Zahlungsverkehr mit ausgefeilten, regelbasierten Präventionssystemen wie PPZV und CoP. Ähnliches beobachten wir im E-Commerce bei Kreditkarten. Schon seit vielen Jahren können Kunden von zu Hause aus einfach und bequem im Internet einkaufen. Bezahlen tun sie beispielsweise mit ihrer Kreditkarte von der Sparkasse, und genau das haben Betrüger auch für sich erkannt; die meisten Betrugsfälle verzeichnen die Kreditkarten daher im E-Commerce.

Hier stehen sie aber auch schlagkräftigen Präventionssystemen gegenüber, weswegen die Mehrzahl der Betrugsfälle auch vereitelt werden kann. Die digitale Karte für Smartphone ist dagegen noch ein „Jungspund“, das Gros im Kartenbetrug bei der Sparkassencard geschieht momentan noch auf physischer Ebene durch Abgreifen von Karte und PIN. Grundsätzlich kann man sagen: Wo innovative Lösungen im Zahlungsverkehr entwickelt werden, sind Betrüger nicht weit, diese auch für sich zu entdecken – es ist ein modernes Wettrüsten.

 
Beliebte Betrugsmasche: Angebliche Mitarbeiter des Microsoft-Supports versuchen per Telefon, Zugriff auf den Rechner von Kunden zu bekommen. © dpa

DSZ: Nach welchen Kategorien unterscheiden Sie Betrugsfälle?
Sinsel: Die digitale Entwicklung spiegelt sich natürlich auch im Haftungsfonds Zahlungsverkehr des DSGV wider. Trug der Haftungsfonds vormals hauptsächlich Schäden aus dem klassischen Kartenbetrug durch Abgreifen von Karte und PIN oder aus gefälschten Überweisungsträgern, finden Sie heute auch alle neuen Produktinnovationen aus dem digitalen Zeitalter wieder.

Schäden sind natürlich unerwünscht, aber heute noch im vertretbaren Rahmen und in wesentlichen Bereich dank der zunehmenden Präventionsmaßnahmen teilweise schon rückläufig. Aber, dass es zu Schäden kommt, liegt in der Regel nicht daran, dass ein Zahlungssystem direkt angegriffen wurde, denn die sind sicher. Vorranging geht es darum, an Zugangs- oder Autorisierungsdaten wie Karte, Passwörter, TANs und PINs des Kunden zu gelangen oder diesen direkt manipulativ zu Zahlungsvorgängen zu verleiten, die an Finanzagenten gehen und verschwinden. So warnen die Verbraucherzentralen regelmäßig vor falschem Microsoft-Support. Angebliche Mitarbeiter des technischen Supports von Microsoft versuchen per Telefon oder über gefälschte Warnhinweise am PC, Zugriff auf den Kunden-PC zu gewinnen.

Der Betrüger behauptet am Telefon, dass der Computer angeblich von Viren befallen sei. Was sich zunächst nach einem guten Service anhört, ist in Wahrheit eine Betrugsmasche, die sich „Tech Support Scam“ nennt. Damit installiert man sich ein Programm, mit dem die Betrüger aus der Ferne auf den Computer zugreifen können. Das ermöglicht den falschen Microsoft-Mitarbeitern, sensible Daten – wie Passwörter für das Onlinebanking – auszuspähen, den Kunden-Computer zu sperren und anschließend sogar Geld zu fordern, um den Computer wieder freizugeben.

Auch die zunehmenden Möglichkeiten von PIN- und TAN-freien Kleinstbetragszahlungen bieten natürlich auch einen Ansatz für Betrug, wenn hier auch mit geringen Schadensummen. Hier liegt für uns das Problem vor allem darin, dass der Aufwand für die Klärung der Sachlage mit dem geschädigten Kunden, das Erfassen des Schadens für die Betrugsberichtserstattung, die Erstattung an den Kunden bis hin zur Weitergabe an einen Versicherer oder Haftungsträger oftmals in keinem Verhältnis zum eingetretenen monetären Schaden stehen. Daher gibt es neben betrugsverhindernden Maßnahmen auch konkrete Aktivitäten, auch die Prozesse der Schadenabwicklung über die Digitalisierung zu optimieren.

 
Die Zugangsdaten zum Onlinebanking sind ein beliebtes Ziel für Betrüger. © dpa

DSZ: Und wo entstehen die größeren Schäden?
Sinsel: Die größten Schäden sehen wir aktuell im Onlinebanking. So verleiten Verbrecher beispielsweise durch gut gemachtes Phishing oder Social Engineering Onlinebanking-Kunden zum Mitteilen von Onlinebanking-Zugangsdaten und TAN. Aber auch Angriffe gegen Sparkassenmitarbeiter sind auf dem Vormarsch. Ziel der Betrüger ist letztendlich immer, die Onlinebanking-Identität des Kunden zu übernehmen und in seinem Namen zu handeln.

Auch hier ist die Sparkassen-Finanzgruppe aktiv, beispielsweise mit dem Lage-Abwehr-Reaktionszentrum beim S-Cert, das beispielsweise die Online-Welt nach betrügerischen Internetauftritten scannt und diese abschaltet. Und inzwischen gibt es mit PPZV und CoP sehr mächtige OSPlus-Komponenten, die mit einer regelbasierten Transaktionsanalyse Auffälligkeiten rund um einen Zahlungsauftrag erkennen und damit möglichen Missbrauch zu vermeiden suchen. Dass die Systeme das können, haben sie in der Praxis schon oft bewiesen.

DSZ: Was können auch Sparkassenberater tun, um dem Betrug entgegenzuwirken?
Sinsel: Eine große Verantwortung liegt natürlich auch in den Händen unserer Berater der Sparkassen, die ihre Kunden unermüdlich für Betrug in all seinen Ausprägungen und einen vorsichtigen Umgang mit ihren Daten und Zahlungsmedien sensibilisieren müssen. Im Kartenbereich ist der wohl immer noch wertvollste Tipp, den ein Sparkassenberater seinen Kunden geben kann – sich seine PIN gut einzuprägen und nicht als Notiz oder getarnte Telefonnummer im Portemonnaie mit sich zu führen.

Grundsätzlich gilt, dass Kunden ihre PIN auswendig lernen sollten und den PIN-Brief zeitnah vernichten. Im Zeitalter digitaler Karten auf dem Smartphone gehören dann auch eine PIN oder andere Authentifizierungsinformation nicht in das Adressbuch unter „meine Sparkasse“. Weitere Anregungen können Berater und Kunden auch auf dem Portal www.kartensicherheit.de finden.

Was ist der kurioseste Betrugsfall, mit dem Sie es in Ihrer beruflichen Karriere zu tun hatten?
In den Schäden spiegelt sich das ganze gesellschaftliche Spektrum wider. Es gibt Angriffe und Schäden aus dem E-Commerce, dahinter verbergen sich teilweise mafiöse Strukturen und hochspezialisierte Betrüger-Gruppen. Eher traurig sind Schäden, die Missbrauch aus dem persönlichen Umfeld des Kunden vermuten lassen, zum Beispiel durch Freunde und Verwandte oder Pflege- und Reinigungskräfte.

Zum Schmunzeln sind jene Schäden, die nach Besuchen in Etablissements im Rotlichtmilieu entstehen. Da gibt beispielsweise ein junger Herr in stark alkoholisiertem Zustand der netten Dame seine Karte samt PIN, um damit Geld abzuheben; der Automat steht ja zufällig im gleichen Haus. Er selber konnte es infolge seiner Trunkenheit leider nicht mehr. Nur hatte die nette Dame offensichtlich ein anderes Verständnis zum für ihre Dienstleistung fälligen Lohn und räumt dem Kunden das Konto leer; das ist wohl eher dumm gelaufen.

Aber dann zur Sparkasse zu gehen, um das Geld zurückzufordern, ist wohl eher frei von jeder Scham. Wir vom Haftungsfonds und die Sparkasse haben übrigens diesen Schaden nicht übernommen, bei so viel Dreistigkeit kann man sich dann auch mal auf die „Bedingungen für die Sparkassencard“ zurückziehen. Da heißt es nicht umsonst, dass die Karte mit besonderer Sorgfalt aufzubewahren ist, um zu verhindern, dass sie abhanden kommt und missbräuchlich verwendet wird.